De Nederlandse privacy waakhond, de Autoriteit Persoonsgegevens (AP) legt Booking.com een boete van € 475.000 op voor het 22 dagen te laat melden van een datalek. In tegenstelling tot de visie van Booking, oordeelt de AP dat Booking eerder op de hoogte had kunnen zijn van het datalek, en eerder actie had moeten ondernemen. Hoelang heb je om een datalek te melden, en wat ging er mis bij Booking?
Datalekkenmeldplicht
Als je op de hoogte bent van een inbreuk in verband met de persoonsgegevens – een datalek – dien je dat (als verwerkingsverantwoordelijke) binnen 72 uur te melden aan de AP. Een datalek is een inbreuk op de beveiliging waardoor – simpel gezegd – persoonsgegevens bij de verkeerde persoon of personen terecht zijn gekomen.
Dit kan een mailtje aan de verkeerde ‘Caroline’ zijn in uw contactenlijst, aantekeningen over iemand waarvan een kiekje is geschoten door de pers of wanneer u als bedrijf lucht krijgt dat een onbekende partij bepaalde persoonsgegevens deelt; informatie die eigenlijk alleen van uw bedrijf had kunnen komen. Dat was het geval bij Booking.
De maatstaf die de AP hanteert voor het ‘kennis hebben van een datalek’ is de volgende: als een verwerkingsverantwoordelijke een redelijke mate van zekerheid heeft dat zich een veiligheidsincident heeft voorgedaan, dat tot het compromitteren van de persoonsgegevens heeft geleid, gaat de teller lopen.
De geschiedenis van de lekkende data
Het begon allemaal op 19 december 2018. Althans, daar kwam het Security Team van Booking later achter. Vanaf die dag heeft een onbekende partij met social engineering het voor elkaar gekregen om toegang te krijgen tot het Extranet van Booking. Op dit Extranet kunnen accommodaties inloggen met hun gebruikersnaam, wachtwoord en tweefactorauthenticatie om informatie over hun gasten in te zien. Deze onbekende partij deed zich telefonisch voor als een medewerker van Booking om zo toegang te verkrijgen, en met succes.
De hackers hebben ingelogd op het Extranet van Booking in naam van 40 accommodaties, waardoor de informatie van ruim 4000 betrokkenen kan zijn ingezien. Deze gegevens betreffen naam, adres- en contactgegevens en informatie over de reservering. Van bijna 300 betrokkenen zijn financiële gegevens gelekt, en voor een kleine 100 betrokkenen de creditcardgegevens inclusief CVC. Hiermee kan je online betalingen afrekenen.
De gevolgen van deze onrechtmatige toegang komen in januari 2019 boven water. Op 9, 13 en 20 januari 2019 ontvangt Booking verschillende meldingen dat gasten zijn benaderd door een onbekende partij die hun persoonsgegevens, specifiek creditcardgegevens verzoekt. De onbekende partij doet zich per e-mail of telefoon voor als de accommodatie waar geboekt is, is op de hoogte van de reserveringsdetails en zegt dat de gast nog moet afrekenen.
Hoewel een van de meldingen “Subject: RE: [External Fraud] / Leaked Guest Information / URGENT’’ kopt, bereikt deze informatie 4 februari 2019 pas het Privacy Team van Booking. Booking heeft het datalek op 7 februari 2019 bij de AP gemeld.
Volgens Booking ging de 72 uur lopen op het moment dat het Privacy Team de melding intern ontving op 4 februari 2019: binnen de tijd dus! De AP oordeelt dat de teller ging lopen op 13 januari 2019. Op dat moment was er al een redelijke mate van zekerheid dat er persoonsgegevens betrokken waren bij het veiligheidsincident. Een van de accommodaties geeft immers al aan dat zij geen toegang heeft tot de door de partij gebruikte gegevens, en dat het probleem waarschijnlijk bij Booking ligt.
Booking voert (onder meer) aan dat, als zij het oordeel van de AP strikt uitlegt, dat leidt tot een onredelijke en onrealistische administratieve belasting, en een onredelijke financiële belasting. Dan zou zij namelijk alle mogelijke beveiligingsincidenten moeten melden en elke binnengekomen klacht moeten onderzoeken. Zulke onredelijke lasten druisen in tegen de wettelijke beveiligingsplicht, aldus Booking.
De AP gaat hier niet in mee: een verwerkingsverantwoordelijke moet in staat zijn een inbreuk tijdig op te sporen, te onderzoeken en te melden. Booking’s beleid luidt ook dat medewerkers vermoedens van meldingen van vermeende beveiligingsincidenten direct moeten doorsturen naar het Security Team. Dat Booking faalt in het naleven van haar beleid komt voor risico van Booking, aldus de AP.
Eindstand: de AP straft Booking met een boete van € 475.000.
‘’Maar dit had toch iedereen kunnen weten?!’’
Als buitenstaander kan je makkelijk zeggen dat als Booking dergelijke meldingen krijgt zij “toch had kunnen weten dat dit belangrijk was”. Er moeten toch alarmbellen gaan rinkelen?
Desalniettemin zal het voor veel grote bedrijven een herkenbaar probleem zijn: een tekort aan awareness op de werkvloer. Veel privacy-specialisten hadden het einde van de eerste melding niet hoeven lezen, en de website van de AP was al geopend om het datalek te melden. Maar in de hoge toren blazen dat er data gelekt is, bereikt je collega’s of werknemers niet. Zeker niet aan de andere kant van de wereld.
Dit datalek illustreert kristalhelder het belang van awareness binnen een organisatie, onafhankelijk van de grootte en geografische locatie. Techniek en beleid zijn belangrijk, maar uw mensen laten het leven. Vergeet daarom niet om tijd te steken in het opleiden van uw werknemers, door alle flanken van een organisatie. Kijk naar waar werknemers staan, wat ze weten, train uw medewerkers en test uw beleid.
